since 1998
Eine, wie ich finde, sehr schöne Lektüre, damit nicht jemand sagen kann, sie/er habe nichts gewusst. Doch! Wir wissen es! Wir benutzen es! Und weil es so schön einfach ist, verlinke ich den Artikel mal via Google Books, einfach mal so….
Ach ja, da war noch was: Ich habe der c’t mal geschrieben, ob die das so toll finden, dass 35 von 161 Seiten (22%, nicht ganz, aber fasst 1/4) durchgängig als Probe zu lesen sind!?
Ich bin schon seit OS/2-Zeiten jemand, der eher auf Robustheit, gute Konzeption und Einfachheit anstatt „Featurewahn“ steht. Ich nutze heute noch Programme, die nur eine Sache sehr gut erfüllen, dafür aber genau das und für mich transparent.
Nun ist in der Pandemie wieder das alte Lied angeworfen worden, den die OS/2-Kämpfer/innen (Warp) schon gegen die Windows-Fraktion (Win) verloren hatten: Win war schicker und hatte vieles an Funktionen, die man auf Warp tlw. händisch nachpflastern musste, aber Warp war recht sicher, robust und transparent in dem was es tat. Win war anfälliger, unsicherer und Plug&Pray-Sprüche stammen aus dieser Zeit.
Heute wollen wir Videokonferenzen, virtuelle Tagungen, Inhalte kollaborativ nutzen und zwar schick und jetzt! Sicherheit? Privatsphäre? Profiling? Big Data-Analyse? „Mir doch egal!“ Selbst wenn es mal klappert, könnte man mit etwas manuellem Aufwand Datensammlerm von nachweislich schlampigen, aber weit genutzter Kollaborationssoftware durch Nichtnutzung in die Schranken weisen, aber…
…wer die Geschichte des „OS-Wars der 90er“ kennt, weiß wer sie „gewonnen“ hat. Schade, aber wir in der IT wollen oder können nicht aus der Vergangenheit lernen, auch wenn alle nun Linux oder Mac schreien, so ist der Anteil nach wie vor der, den die Warp-Kämpfer/innen noch in Erinnerung haben: Gering.
Quelle: Statista
Die Schiffsbrücken-, Geldautomaten-, eben kritische… Software lief auf Warp, aber die Masse eben auf Win, gell, liebe Unixoider/innen?!
Bis heute ist mein Haushalt windowsfreie Zone, aber werde ich mich auch der reloadeten Version widersetzen können? Keine virtuelle Konferenz besuchen, wo ich mich daten-nackig mache? Bin ich wieder die Minderheit und muss mich fügen und Scott’s Losung „there is no privacy, get over it“ fügen?
Ich habe keine Antwort darauf, hoffe aber, wie in „The Day After“ , dass da noch jemand da draußen ist….
[UPDATE 26.7.2020]
Alle benutzen Zoom…. ahja… sehr spannend, wenn IT’ler einem Flöhe in die Ohren setzen… – die Umfrage ist während der Corona-Zeit (5/2020) gemacht worden 🙂
Quelle Statista
Am 24. März 2018 verabschiedete ich mich von Fratzenbuch, da der Cambridge-Analytica-Skandal bei mir das Faß zum Überlaufen brachte. Seit der KW26 ist nun Twitter bei mir Geschichte und liebe Bekannte und alte Weggefährten fragten warum und wie sie mit mir in Zukunft in Kontakt bleiben können. Dafür erst einmal Danke! Diese Seite hat ein Impressum, wie es sich gehört und zudem habe ich nach wie vor meinen Threema-Account (u.a.). Wer was von mir möchte, findet mich.
Ich kommuniziere gerne persönlich, also IRL (in real life), anstatt über Schriftwechsel oder soziale Nachrichten. Da ich mich einem Thema gerne auch mal über provokante und polarisierende Aussagen nähere („aus der Reserve locken“), das Spiel mit Kommunikationsmitteln eben liebe („was passiert dann“-Maschine), sind soziale Medien mir einfach zu flach. Ich brauche die Reibung, die Konflikte, die Emotionen…. auch ein strittiges Thema auszufechten ist für mich keine Belastung, sondern eher Befreiung. Können manche Menschen nicht mit um. Ich habe da in den letzten Jahren meine „emphatischen Fähigkeiten“ verbessert, aber die sind ausbaufähig, da ich diesen Weichspülmodus (alle haben sich lieb) nur bedingt akzeptiere, denn es muss am Ende auch was dabei rauskommen, damit es voran geht.
Eher konfliktvermeidende Menschen können wohl mit den sozialen Medien mehr anfangen, denn sie können Dinge ignorieren, Antworten wohl überlegt zu dem Zeitpunkt schreiben wo sie eine Antwort abgewogen haben. Grenzen ausloten, auch mal eine Aussage raushauen oder eine Emotion preisgeben, die eben nicht wohl temperiert und überlegt ist, hat auf Twitter und auch auf anderen Plattform meistens nicht nur gute Reaktionen zur folge.
Bei Twitter kommt noch erschwerend hinzu, dass ich gerne meine Quellen aus denen ich mir meine Meinung beildet habe, schwer unterbringen kann. Es ist dort nicht üblich. Ich habe aber im Informationszeitalter (als die Mailboxen die Welt eroberten) gelernt, dass es ratsam ist, den Wert einer Information oder auch nur die Richtigkeit zu überprüfen, da man sonst auf falschen Annahmen sein Meinungsbild baut. Als Tester bzw. qualitätsliebender Mensch versuche ich auf Basis von Fakten und Regeln zu agieren und nicht auf „Trends“. Trends müssen deren Verbesserung auch beweisen, damit ich sie gut finden kann…. (das wäre aber eine längere Geschichte)
Zu Corona wurde der Anteil an guten Informationen immer weniger. „Gefährliche Halbwahrheiten“ überschwemmten dann die Feeds.
Ich werfe nicht alle meine Wertevorstellungen über Bord, nur weil ein Virus mich zu neuem Handeln bewegt – Veränderung ist für mich normal. Persönliche Schutzmaßnahmen gegen eine Pandemieausbreitung, Einsatz von Remote-Arbeitswerkzeugen, Zusammenarbeitsformen mit Kolleginnen und Kollegen uvm. ist und war auf einmal im Umbruch. Nur, ich habe zumindest ausreichende Grundkenntnisse in Sachen Viren (Ausbildung in der Lebensmittelindustrie und Mikrobiologie war eines meiner Lieblingsfächer), habe seit Anfang der 2000er Jahre mit remote Arbeitstools zu tun und zudem bin ich schon seit den 90ern in Sachen Privatsphäre und Sicherheit unterwegs und habe auch Zusammenarbeitsformen mit voran getrieben, die es Kolleginnen und Kollegen vor Corona ermöglicht haben am Teamleben teilzunehmen, auch wenn sie nicht vor Ort waren. Das war vor Corona auch nie einfach, denn man muss für „soziale Nähe“ etwas tun – von beiden Seiten! Tools, die aber meine Daten dann verschleudern als wären es ihre, die sich um die Sicherheit von gesicherter Kommunikation ’n Dreck kümmern, unterstütze ich eben nicht, nur weil sie ertappt wurden und „nachgebessert“ haben.
Twitter hat nun das hochgespült, was ich immer dadurch umgangen habe, indem ich mich nur mit Menschen umgebe, die ich mag. Bei Twitter ist das aber leider nicht verhinderbar in den Sog gezogen zu werden und daher entziehe ich mich dem.
Was jetzt wenigstens passiert, dass auch Typen wie Trump & Co. die Grenzen ihres Auswurfs an Blödsinn seitens der Betreiber aufgezeigt bekommen. Zu Mailbox-Zeiten war v.i.s.d.P. (verantwortlich in Sachen des Presserechts) der …… genau Betreiber!
Mal sehen, ob es auch soziale Medien gibt, die es lohnt kennenzulernen – gerne eMail an mich.
Ich habe seit Ende 2016, auf Basis von Informationen, die hauptsächlich von Declan O’Riordan stammen, angenommen, die Grundidee der Interactive Application Security Testing Technik beruhe auf dem Metadata Facility Framework, welches unter dem JSR 175 in Java eingeführt wurde. Matthias Rohr hielt am 23. Oktober 2019 einen Vortrag im Rahmen des OWASP Stammtisches in Hamburg und war über meine Nachfrage, warum er dies unerwähnt gelassen habe, sehr verwundert, da er nur die Instrumentierung des Codes als Schlüssel zum Erfolg darstellte, und so habe ich Jeff Williams, Gründer und (Mit-) Erfinder der Technik und eines der IAST-Tools, direkt via LinkedIn angefragt und die korrigierende Aussage am 27. November 2019 bekommen:
„Hi Jogi – we don’t use JSR175. We use standard Java Instrumentation API. That’s the breakthrough innovation that enabled Contrast to exist. We use all our own sensors and analysis engine on top of that API. We had to invent different instrumentation techniques for .NET, .NET core, Node.js, Ruby and Python.“
Jeff Williams, Co-Founder and CTO at Contrast
Nun, an den Ergebnissen der Technik ist in meinen Präsentationen nichts falsch, da ich sie ja auch selber durchgeführt habe, nur ist es eben etwas anderes, wenn man durch Code-Instrumentierung Aktionen auslöst (Dtrace, den Tracer von Sun, den ich immer als Vergleich auf Betriebsystemebene herangezogen habe, macht dieses nämlich auch!) oder „mitlaufende“ Metadaten analysiert werden. Der Code wird zur Laufzeit in dem Application Container „angefasst“ (verändert) während das bspw. bei Ausnutzung der JSR 175 nicht unbedingt notwendig gewesen wäre, da die Metadaten ja „mitlaufen“.
Danke an Matthias Rohr für den Hinweis, der mich dazu nötigte meine unreflektierte Übernahme einer Aussage nun zu korrigieren. Ich werde die Dokumente, sofern sie unter meiner Kontrolle sind, entsprechend anpassen.
Als mich jemand fragte, ich möchte doch mal einen Artikel lesen und, wenn ich ihn gut finde, bei mir verlinken, war das ein „Arbeitsauftrag“ für mich, denn ich verlinke nichts, was ich nicht selber unterschreiben würde. Es ging um das Thema Darknet, Tor etc.
Nun, selbst wenn man sich seit sehr langer Zeit mit dem Thema Verschlüsselung, Sicherheit, Anonymisierung, Datenschutz und Privatsphäre, aus eigenem Interesse und / oder beruflich, auseinandersetzt, wachsen Erkenntnisse manchmal über einen längeren Zeitraum, aber eines, dessen bin ich mir sehr, sehr sicher:
VPN (Virtuelles privates Netzwerk) ist kein Anonymisierungswerkzeug! Ein VPN-Tunnel dient dazu bspw. am öffentlichen WLAN (Café, Bahnhof, etc.) nicht ausspioniert zu werden, da sichergestellt wird, dass zwischen Dir und dem VPN-Dienst, dessen Server Dein Eingangstor zum Internet ist, keine [wo]man-in-the-middle-Attacke (Die/Der Angreifer*in greift zwischen zwei Endpunkten die Informationen ab) so einfach möglich ist. [1][2]
Es ist aber eben nicht so, dass man damit dann anonym unterwegs ist oder man unbedingt ins Darknet mit einem VPN-Dienst muss, im Gegenteil. Es ist nur so, dass uns das suggeriert wird, aber wenn der Onkel Richter eine Verfügung ausstellt und der Dienst dann die Daten rausrücken muss, hat es sich mit Deiner Anonymisierung. digitalcourage aus Bielefeld hat in einem Artikel aus dem Jahre 2018 [3] dazu, neben den oberen beiden Links, auch noch diesen [4], der es vielleicht noch mehr verdeutlicht das VPN nicht zur Anonymisierung taugt.
Nun steht man also mit „abgesägten Unterhosen“ schon mal ohne VPN im Internet. Was ist den nun mit Tor?
Um meine Anonymisierung zu erreichen, schnappe ich mir nun diesen Tor (The Onion Router, benannt nach dem Konzept der Zwiebel, da die Verschleierung der Identität in etwa dem des Zwiebelprinzips entspricht) und dann bin ich aber anonym…. Nein!
Wiederum digitalcourage beschreibt [5] korrekt das es auf die richtige Nutzung ankommt:
Journalist*innen, Menschenrechtler*innen, Wiederstandsbewegungen, etc. in „nicht so netten“ Ländern kennen diese Regeln sehr gut und es gehören bestimmt noch einige andere Kniffe dazu.
Trotz all dieser technischen Maßnahmen und Vorkehrungen, ist nicht gesichert, dass man anonym bleibt. Der entscheidende Faktor ist das eigene Verhalten. Wie auch IRL (im realen Leben, in real life), bekommen Überwachungs- oder Ermittlungsbehörden das was sie wollen, da jemand den Mund zu voll nimmt, einen Fehler in seinem/ihrem Verhalten begeht…. ganz klassisch eben [6].
D.h. wenn Du in Ruhe gelassen, nicht verfolgt und nicht ausspioniert werden möchtest, musst Du neben den technischen Dingen auch Dein Verhalten anpassen. Das kann man lernen, aber man sollte früh damit anfangen und d.h. liebe Eltern: Bringt es Euren Kindern bei, wenn sie IRL verlassen und Cyberpunks werden, also mit 5 Jahren 🙂
Ich denke mein Artikel ist etwas länger geworden, weil es eben nicht Schnipp-Schnapp geht sich im Internet anonym zu bewegen und wenn, dann muss man einiges dafür tun und hat dann immernoch keine 100%ige Sicherheit.
Ich selber möchte nur in Ruhe gelassen werden und möchte meine Daten unter meiner Kontrolle behalten und das ist schwer, aber wir haben ein Recht auf Freiheit und Selbstbestimmung, welches ich nur durchsetzen möchte.
Waffen oder illegale Drogen waren nie meins und daher bestelle ich auch keine. Ich finde es wichtig Menschen einen Raum zu geben, wo sie die Freiheit besitzen über Wahrheiten zu reden ohne dafür verfolgt zu werden – in verschiedenen Ländern der Erde kann das das Todesurteil für einen bedeuten! Die Menschen in Europa kennen das nur am Rande und daher nehmen die Medien gerne das Darknet um Klicks für ihre Seiten zu bekommen, verstanden haben sie oftmals nichts von den Konzepten.
Freiheit bedeutet auch immer Risiko und Spinner*innen, die das Ganze gegen die Gesellschaft verwenden – Kinderschänder, Pornosammler, Nazis, Hetzer, Radikale aller Art – die gibt es IRL aber leider auch und wieso sollte das Darknet davor Halt machen? Bspw. verwende ich beruflich Hackertools, die eigentlich mal dazu geschrieben worden sind, um Schwachstellen auszunutzen, nur verwende ich es umgekehrt um Dinge sicherer zu machen – es gibt, wie so oft, immer zwei Seiten einer Münze.
Reglementierungen gab es zu meiner Zeit auch und es war höchst illegal ohne FTZ-Sigel ein Modem zu betreiben, aber war es sinnvoll? Nein! Wenn also „Heimathorst“ etwas reglementieren möchte, so glaubt er die Kontrolle zu haben, jedoch wird auch er schnell merken: Die Infrastruktur des Internets wurde geschaffen um sie nicht kontrollierbar zu betreiben, exakt so, wie wir es mit Bulletin Board Systems (aka MailBox) auch einst taten.
Zurück zur Anonymisierung: Es ist weder illegal noch ist es 100%ig möglich, aber es macht Sinn sich zu schützen, denn andere haben mit den Profildaten eines Menschen (Identität) im digitalen Zeitalter ganz andere Dinge vor und dagegen wehre ich mich so gut ich kann, wie man es IRL auch tun würde, wenn man angegriffen würde….
Security Testing durch Instrumentierung verspricht bei DevSecOps bessere und schnellere Ergebnisse als gängige Scan-Verfahren. Erfahren Sie in Theorie und Praxis, was hinter der Methode steckt.
Scannen Sie noch oder instrumentieren Sie schon? Denn neue Test-Methoden können die Anwendungssicherheit während der Entwicklung und im laufenden Betrieb effizient steigern. Hören Sie nicht nur die Theorie vom Hersteller, sondern auch den Praxisbezug des QA-Spezialisten Jörg Sievers von der Ponton GmbH in Hamburg und seine Erfahrungen mit neuen Security-Testmethoden aus Anwendersicht.
Quellcode zu scannen (Static Application Security Testing, SAST) und Anwendungen dynamisch zu testen (Dynamic Application Security Testing, DAST) sind wichtige Bestandteile funktionierender DevSecOps-Prozesse, generieren jedoch zu viele Falschmeldungen oder liefern nicht ausreichend Ergebnisse. Weiterhin ist Scanning mittels SAST sehr zeitintensiv oder DAST benötigt Experten zum Vorbereiten von Tests und deren Interpretation. Manuelles Pentesting kommt schon aus Zeitgründen nicht jedes Mal zum Einsatz.
Für DevOps, die ShiftLeft-Methodology und mehrfaches Deployment am selben Tag sind Interactive Application Security Testing (IAST) und Runtime Application Self-Protection (RASP) wesentlich besser geeignet. IAST und RASP ermöglichen zeitnah akkurat Ergebnisse für unterschiedliche Anwenderrollen in den jeweils präferierten Werkzeugen.
Wir freuen uns auf Ihre Teilnahme!
Ihre Referenten:
Mirko Brandner Jörg Sievers
Senior Sales Engineer / QA Specialist
Technical Evangelist Ponton GmbH
Contrast Security
Quelle: https://www.security-insider.de/agile-applikationssicherheit-in-echtzeit-fuer-devops-v-41422-12645/
(Testen: Die Zukunft von Softwaretestern – einePrognose; iX 12/2018, S. 88)
Wenn man sich in das Rollenmodell des IT-Testers einarbeitet, das zusammen vom German Testing Board und der Gesellschaft für Informatik entwickelt wurde, sieht man, wie ein expliziter Tester den Informatikern zur Seite stehen kann. Die Vielfältigkeit der dort beschriebenen Aufgaben auf die Entwickler abzuwälzen, wäre so, als würde ein Industriearbeitnehmer alle Aufgaben von der Produktplanung bis zur Auslieferung bei EDEKA selbst erledigen – das ist wohl eher nicht wünschenswert, da man dafür viele unterschiedlichste Kompetenzen in einer Person vereinigen müsste. Der einstige „Bughunter“ ist sicherlich schon länger passé, aber der Tester, der die Entwickler besser macht, ist etwas, was es auch in den nächsten Jahrzehnten noch geben wird. Ich suche immer nach Parallelen aus meinem alten Job in der Lebensmittelindustrie, und da geht nichts, ohne dass nicht die Qualität stimmt. Und weil gerade Querschnittsthemen in der agilen Welt ein Problem darstellen können, hilft der Kommunikator oder „die Bauchspeicheldrüse“ des Projekts (Alex Schladebeck),die die Dinge zusammenführen kann.
Informatiker lernen in ihrer Ausbildung selten etwas über Grenzwerte, Sicherheitstests, Akzeptanztests – so meine Erfahrung in 20 Jahren … und das gerade bei Sicherheit nur auf Sourcecode zu beziehen, kann sehr gefährlich sein, wenn man bspw. SAST-Tools mal anschaut, die viele Entwickler kennen und die beim OWASP-Benchmark gerade mal etwa 30 % aller Sicherheitsfehler finden. Wenn da nicht ein Sicherheitstester noch andere Wege aufzeigt, um Einfallsvektoren zu bestimmen, ist Ihr Start-up schneller gehackt, als Sie die Worte „Sicherheitstests wären gut“ sagen können. Agile Testing / More Agile Testing (zwei Standardwerke, d. Red.) beschreiben die Dinge, die in die agilen Strukturen mittlerweile aufgegangen sind, und beschreiben ziemlich gut, wie sich die Berufswelt des Testers veränderte. Wir würden andere Produkte, wie Autos,Zahnpasta, Brot, Gemüse, nicht kaufen,wenn wir nicht wüssten, dass sich jemand um die versprochene Qualität des Produktes bemüht. Warum manche Informatiker denken, ihre Welt funktioniert anders als die restliche, wird mir ewig ein Rätsel bleiben. Denn die Projekte, die meinten, nicht auf Qualität zu setzen, gibt es oftmals nicht mehr. Die, die wussten, welchen Fehler sie gemacht haben, lehren andere Gründer auf Qualität zu setzen.
JÖRG SIEVERS, AHRENSBURG
Wer ein Lenovo Thinkpad benutzt, sollte mal updaten, da der Fingerprint Manager Pro seine Daten unsicher abspeicherte. Danke Fefe!
Bill Hess von PixelPrivacy.com hat einen schönen Artikel erstellt, wie man sein iOS (11) sicherer macht. Ich kann alle Tipps unterschreiben und füge noch hinzu: Benutzt BoxCryptor um Eure Daten in der Cloud zu verschlüsseln. So ist es für Scanner, die evtl. auf versehentlich freigegebene, aber verschlüsselte Bilder- oder Dokumentenordner in der Cloud zugreifen nicht möglich die Datei selber auszulesen.
Ich benutze seit vielen Jahren PGP um meine Nachrichten zu verschlüsseln, jedoch benutzen wenige meiner Briefbekanntschaften PGP, da es mit der Schlüsselverwaltung auch nicht jedemanns Sache ist.
Als Stern am Horizont tauchte in den letzten Jahren das Pretty Easy Privacy project, kurz pEp, auf, wo u.a. auch die Bielefelder vom Digitalcourage e.V. mitmischen.
Der „Default“ soll eben sein Verschlüsselung an- und nicht ausgeschaltet zu haben. Für Windows und Outlook habe ich nach dem dritten Anlauf die Version auch fehlerfrei installieren können und so läuft das Plugin nun mit. Für Thunderbird ist nun auch Besserung in Sicht: Enigmail’s nightly Build enthält nun pEp junior als Bestandteil. Enigmail ist wohl die bekannteste PGP-Implementierung und in der 2.0 ist u.a. nun auch die Betreffzeile verschlüsselt bzw. wird in den verschlüsselten Teil gezogen und im Betreff steht nur noch encrypted message – was ich nach mehreren Jahrzehnten PGP auch mal geil finde 🙂
Für iOS ist ebenfalls Besserung in Sicht und ein Testflight steht zur Verfügung. Ich spiele da mal mit, da auf iOS die PGP-Implementierung echt megaumständlich ist.